設定 Windows 伺服器上的 Microsoft Defender 防毒軟體排除

適用於:

摘要

本文提供 Windows Server 2016 或更新版本上的 Microsoft Defender 防毒軟體排除的概覽。

因為 Windows Server 2016 和更新版本內建 Microsoft Defender 防毒軟體,所以作業系統檔案和伺服器角色的排除項會自動發生。 不過,您可以定義自訂排除專案。 如有必要,您也可以選擇不啟用自動排除。

本文包含下列章節:



區段 描述
Windows Server 2016 或更新版本上的自動排除專案 描述自動排除的兩種主要類型,並包含自動排除專案的詳細清單。
退出自動排除 包含重要的考慮和程式,說明如何選擇不進行自動排除
定義自訂排除 提供定義自訂排除的操作方法資訊連結

重要

請牢記下列幾點:

  • 自訂排除優先于自動排除。
  • [自動排除] 只適用于即時保護 (RTP) 掃描。 在進行完整掃描、快速掃描或隨選掃描時,不會接受自動排除。
  • 自訂和重複排除專案不會與自動排除項衝突。
  • Microsoft Defender 防毒軟體使用「部署影像服務」和「管理」 (DISM) 工具來判斷電腦上所安裝的角色。

Windows Server 2016 或更新版本上的自動排除專案

注意

[自動排除] 只適用于即時保護 (RTP) 掃描。 在進行完整掃描、快速掃描或隨選掃描時,不會接受自動排除。

在 Windows Server 2016 或更新版本中,您不需要定義下列排除專案:

  • 作業系統檔案
  • 伺服器角色及透過伺服器角色新增的任何檔案

因為 Microsoft Defender 防毒軟體是內建的,所以不需要在 Windows Server 2016 或更新版本上進行作業系統檔案的排除。 此外,當您執行 Windows Server 2016 或更新版本以及安裝角色時,Microsoft Defender 防毒軟體會包含伺服器角色和安裝角色時新增之任何檔案的自動排除專案。

作業系統排除和伺服器角色排除不會出現在Windows 安全性應用程式中顯示的標準排除清單中。

伺服器角色和作業系統檔案的自動排除項不適用於 Windows Server 2012 或 Windows Server 2012 R2。

自動排除清單

下列各節包含與自動排除檔路徑及檔案類型一起傳遞的排除專案。

所有角色的預設排除

本節列出 Windows Server 2016 和 Windows Server 2019 中所有角色的預設排除專案。

注意

預設位置可能會不同于本文所列的位置。

Windows"temp" 檔案
  • %windir%\SoftwareDistribution\Datastore\*\tmp.edb
  • %ProgramData%\Microsoft\Search\Data\Applications\Windows\*\*.log
Windows更新檔或自動更新檔案
  • %windir%\SoftwareDistribution\Datastore\*\Datastore.edb
  • %windir%\SoftwareDistribution\Datastore\*\edb.chk
  • %windir%\SoftwareDistribution\Datastore\*\edb\*.log
  • %windir%\SoftwareDistribution\Datastore\*\Edb\*.jrs
  • %windir%\SoftwareDistribution\Datastore\*\Res\*.log
Windows 安全性檔案
  • %windir%\Security\database\*.chk
  • %windir%\Security\database\*.edb
  • %windir%\Security\database\*.jrs
  • %windir%\Security\database\*.log
  • %windir%\Security\database\*.sdb
群組原則檔
  • %allusersprofile%\NTUser.pol
  • %SystemRoot%\System32\GroupPolicy\Machine\registry.pol
  • %SystemRoot%\System32\GroupPolicy\User\registry.pol
WINS 檔案
  • %systemroot%\System32\Wins\*\*.chk
  • %systemroot%\System32\Wins\*\*.log
  • %systemroot%\System32\Wins\*\*.mdb
  • %systemroot%\System32\LogFiles\
  • %systemroot%\SysWow64\LogFiles\
檔案複寫服務 (FRS) 排除
  • 檔案複寫服務中的檔案 (FRS) 工作資料夾。 在登錄機碼中指定 FRS 工作資料夾 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Working Directory

    • %windir%\Ntfrs\jet\sys\*\edb.chk
    • %windir%\Ntfrs\jet\*\Ntfrs.jdb
    • %windir%\Ntfrs\jet\log\*\*.log
  • FRS 資料庫記錄檔。 FRS 資料庫記錄檔資料夾是在登錄機碼中指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ntfrs\Parameters\DB Log File Directory

    • %windir%\Ntfrs\*\Edb\*.log
  • FRS 暫存資料夾。 在登錄機碼中指定暫存資料夾 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID\Replica Set Stage

    • %systemroot%\Sysvol\*\Ntfrs_cmp*\
  • FRS 預先安裝資料夾。 這個資料夾是由資料夾指定 Replica_root\DO_NOT_REMOVE_NtFrs_PreInstall_Directory

    • %systemroot%\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory\*\Ntfrs*\
  • 分散式檔案系統複寫 (DFSR) 資料庫和工作資料夾。 這些資料夾是由登錄機碼指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\GUID\Replica Set Configuration File

    注意

    若為自訂位置,請參閱剔除未 自動排除

    • %systemdrive%\System Volume Information\DFSR\$db_normal$
    • %systemdrive%\System Volume Information\DFSR\FileIDTable_*
    • %systemdrive%\System Volume Information\DFSR\SimilarityTable_*
    • %systemdrive%\System Volume Information\DFSR\*.XML
    • %systemdrive%\System Volume Information\DFSR\$db_dirty$
    • %systemdrive%\System Volume Information\DFSR\$db_clean$
    • %systemdrive%\System Volume Information\DFSR\$db_lostl$
    • %systemdrive%\System Volume Information\DFSR\Dfsr.db
    • %systemdrive%\System Volume Information\DFSR\*.frx
    • %systemdrive%\System Volume Information\DFSR\*.log
    • %systemdrive%\System Volume Information\DFSR\Fsr*.jrs
    • %systemdrive%\System Volume Information\DFSR\Tmp.edb
處理程序排除
  • %systemroot%\System32\dfsr.exe
  • %systemroot%\System32\dfsrs.exe
Hyper-V 排除

下表列出當您安裝 Hyper-V 角色時,會自動傳遞的檔案類型排除、資料夾排除和程式排除專案。



排除類型 細節
檔案類型 *.vhd
*.vhdx
*.avhd
*.avhdx
*.vsv
*.iso
*.rct
*.vmcx
*.vmrs
資料夾 %ProgramData%\Microsoft\Windows\Hyper-V
%ProgramFiles%\Hyper-V
%SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
%Public%\Documents\Hyper-V\Virtual Hard Disks
過程 %systemroot%\System32\Vmms.exe
%systemroot%\System32\Vmwp.exe
SYSVOL 檔案
  • %systemroot%\Sysvol\Domain\*.adm
  • %systemroot%\Sysvol\Domain\*.admx
  • %systemroot%\Sysvol\Domain\*.adml
  • %systemroot%\Sysvol\Domain\Registry.pol
  • %systemroot%\Sysvol\Domain\*.aas
  • %systemroot%\Sysvol\Domain\*.inf
  • %systemroot%\Sysvol\Domain\*Scripts.ini
  • %systemroot%\Sysvol\Domain\*.ins
  • %systemroot%\Sysvol\Domain\Oscfilter.ini

Active Directory 排除專案

本節列出當您安裝 Active Directory 網域服務 (AD DS) 時,會自動傳遞的排除專案。

NTDS 資料庫檔案

資料庫檔案是在登錄機碼中指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Database File

  • %windir%\Ntds\ntds.dit
  • %windir%\Ntds\ntds.pat
AD DS 交易記錄檔

交易記錄檔是在登錄機碼中指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\Database Log Files Path

  • %windir%\Ntds\EDB*.log
  • %windir%\Ntds\Res*.log
  • %windir%\Ntds\Edb*.jrs
  • %windir%\Ntds\Ntds*.pat
  • %windir%\Ntds\TEMP.edb
NTDS 工作資料夾

這個資料夾是在登錄機碼中指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\DSA Working Directory

  • %windir%\Ntds\Temp.edb
  • %windir%\Ntds\Edb.chk
  • %systemroot%\System32\ntfrs.exe
  • %systemroot%\System32\lsass.exe

DHCP 伺服器排除

本節列出當您安裝 DHCP 伺服器角色時,會自動傳遞的排除專案。 DHCP 伺服器檔案位置是由登錄機碼中的 move-databasepathDhcpLogFilePathBackupDatabasePath 參數所指定 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DHCPServer\Parameters

  • %systemroot%\System32\DHCP\*\*.mdb
  • %systemroot%\System32\DHCP\*\*.pat
  • %systemroot%\System32\DHCP\*\*.log
  • %systemroot%\System32\DHCP\*\*.chk
  • %systemroot%\System32\DHCP\*\*.edb

DNS 伺服器排除

本節列出當您安裝 DNS 伺服器角色時,會自動傳遞的檔案和資料夾排除專案和程式排除專案。

DNS 伺服器角色的檔案和資料夾排除
  • %systemroot%\System32\Dns\*\*.log
  • %systemroot%\System32\Dns\*\*.dns
  • %systemroot%\System32\Dns\*\*.scc
  • %systemroot%\System32\Dns\*\BOOT
處理 DNS 伺服器角色的排除專案
  • %systemroot%\System32\dns.exe

檔案和儲存體服務排除

本節列出當您安裝檔案及儲存體服務角色時,會自動傳遞的檔案和資料夾排除專案。 以下所列的排除專案不包括叢集角色的排除專案。

  • %SystemDrive%\ClusterStorage
  • %clusterserviceaccount%\Local Settings\Temp
  • %SystemDrive%\mscs

本節列出當您安裝列印伺服器角色時,會自動傳遞的檔案類型排除、資料夾排除和程式排除。

檔案類型排除
  • *.shd
  • *.spl
資料夾排除

這個資料夾是在登錄機碼中指定 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\DefaultSpoolDirectory

  • %system32%\spool\printers\*
處理程序排除
  • spoolsv.exe

網頁伺服器排除

本節列出當您安裝網頁伺服器角色時,會自動傳遞的資料夾排除和程式排除專案。

資料夾排除
  • %SystemRoot%\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files
  • %SystemDrive%\inetpub\temp\ASP Compiled Templates
  • %systemDrive%\inetpub\logs
  • %systemDrive%\inetpub\wwwroot
Process exclusions
  • %SystemRoot%\system32\inetsrv\w3wp.exe
  • %SystemRoot%\SysWOW64\inetsrv\w3wp.exe
  • %SystemDrive%\PHP5433\php-cgi.exe
關閉掃描 Sysvol\Sysvol 資料夾或 SYSVOL_DFSR \Sysvol 資料夾中的檔案

或資料夾的目前位置 Sysvol\Sysvol SYSVOL_DFSR\Sysvol 及所有子資料夾是複本集根的「檔案系統重新分析」目標。 Sysvol\SysvolSYSVOL_DFSR\Sysvol 資料夾預設會使用下列位置:

  • %systemroot%\Sysvol\Domain
  • %systemroot%\Sysvol_DFSR\Domain

目前使用中的路徑 SYSVOL 是由 NETLOGON 共用所參照,而且可由下列子機碼中的 SysVol 值名稱所決定: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netlogon\Parameters

從此資料夾及其所有子資料夾中排除下列檔案:

  • *.adm
  • *.admx
  • *.adml
  • Registry.pol
  • Registry.tmp
  • *.aas
  • *.inf
  • Scripts.ini
  • *.ins
  • Oscfilter.ini

Windows Server Update Services 排除

本節列出當您安裝 Windows Server Update Services (WSUS) 角色時,會自動傳遞的資料夾排除專案。 WSUS 資料夾是在登錄機碼中指定 HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

  • %systemroot%\WSUS\WSUSContent
  • %systemroot%\WSUS\UpdateServicesDBFiles
  • %systemroot%\SoftwareDistribution\Datastore
  • %systemroot%\SoftwareDistribution\Download

退出自動排除

在 Windows Server 2016 和更新版本中,由安全性情報所傳遞的預先定義的排除專案只會排除角色或功能的預設路徑。 如果您已在自訂路徑中安裝角色或功能,或是您想要手動控制一組排除,請務必取消在安全性智慧更新中所提供的自動排除專案。 但是請記住,自動傳遞的排除專案會針對 Windows Server 2016 和更新版本進行優化。 定義排除清單之前,請參閱建議以定義排除清單。

警告

退出自動排除可能會對效能造成不良影響,或導致資料損毀。 針對 Windows Server 2016 和 Windows Server 2019 角色,會自動傳遞的排除專案。

因為預先定義的排除只會排除 預設路徑,所以如果將 NTDS 和 SYSVOL 資料夾移至另一個 與原始路徑不同 的磁片磁碟機或路徑,您必須手動新增排除。 請參閱 設定以資料夾名稱或副檔名為基礎的排除清單

您可以使用「群組原則」、「PowerShell Cmdlet」和 WMI 來停用自動排除清單。

使用群組原則來停用 Windows Server 2016 的自動排除清單及 Windows 伺服器2019

  1. 在您的群組原則管理電腦,開啟 群組原則管理主控台。 以滑鼠右鍵按一下您要設定的群組原則物件,然後選取 [ 編輯]。

  2. 在 [ 群組原則管理編輯器 ] 中,移至 [ 電腦 設定],然後選取 [ 管理範本]。

  3. 展開樹狀目錄,以 Windows 元件 > Microsoft Defender 防毒軟體 > 排除

  4. 按兩下 [ 關閉自動排除],然後將選項設定為 [ 啟用]。 然後選取 [確定]

使用 PowerShell Cmdlet 停用 Windows Server 上的自動排除清單

使用下列 Cmdlet:

Set-MpPreference -DisableAutoExclusions $true

若要深入了解,請參閱下列資源:

使用 Windows 管理指令 (WMI) 停用 Windows Server 上的自動排除清單

針對下列屬性,使用 MSFT_MpPreference類別的 Set 方法:

DisableAutoExclusions

如需詳細資訊及允許的參數,請參閱下列各項:

定義自訂排除

如有必要,您可以新增或移除自訂排除。 若要這麼做,請參閱下列文章:

另請參閱